aktualizacje korygujące dla wszystkich obsługiwanych gałęzi PostgreSQL: , , , и , który zawiera część poprawek błędów. Wydanie aktualizacji dla gałęzi 9.4 do grudnia 2019 r., 9.5 do stycznia 2021 r., 9.6 do września 2021 r., 10 do października 2022 r., 11 do listopada 2023 r.
Nowe wersje naprawiają ponad 60 błędów i eliminują cztery luki:
- Dwie luki (CVE-2019-10127, CVE-2019-10128) są specyficzne dla platformy Windows i pojawiają się w instalatorach z EnterpriseDB i BigSQL, które nie ustawiły odpowiednich praw dostępu do katalogu danych, co umożliwiło inicjowanie dowolnego nieuprzywilejowanego użytkownika Windowsa wykonanie kodu na poziomie usługi PostgreSQL.
- Luka CVE-2019-10129 pojawia się w PostgreSQL 11 i pozwala użytkownikowi odczytać dowolne obszary pamięci procesu serwera poprzez wysłanie specjalnie spreparowanego żądania INSERT do podzielonej tabeli.
- Luka CVE-2019-10130 pozwala na odczyt wartości rekordów, do których dostęp jest ograniczony.
Naprawione błędy obejmują uszkodzenie katalogu podczas wykonywania operacji „ALTER TABLE” na partycjonowanej tabeli, awarię serwera w przypadku wystąpienia błędu podczas próby zapisania kursora pomiędzy zatwierdzeniami transakcji, problemy z wydajnością podczas wycofywania transakcji obejmujących dużą liczbę tabel, brak obsługi Wyrażenie „UTWÓRZ TABELĘ, JEŚLI NIE” ISTNIEJE .. JAK WYKONAJ ..”, wycieki pamięci.
Źródło: opennet.ru